German OWASP Day am 9. Dezember in Hamburg

Am 9. Dezember 2014 findet in Hamburg der German OWASP Day statt, eine vom German Chapter der OWASP-Stiftung organisierte Konferenz zur Websicherheit. Die Organisatoren haben eine Reihe prominenter Referenten gewinnen können, die sich zu angesagten Themen auslassen.

So spricht Claudio Criscione von Google über automatisiertes Testen von Webapplikationen. Sicherlich wird seine kürzlich vorgestellte Open-Source-Applikation Firing Range eine Rolle spielen, die als defekte Applikation testet, wie gut Scanner besonders XSS-Lücken im Google-Maßstab testen können. Vor einem Jahr sprach Criscione auf der Google Test Automation Conference davon, dass 70 Prozent der Lücken XSS-Schwachstellen wären und die per Hand im Google-Maßstab zu testen, wäre ähnlich damit zu versuchen, den Ozean leer zu trinken.

Giorgio Maone, der Autor von NoScript, wird wohl seinen Standpunkt erklären, wie ein wirksamer Schutz gegen XSS im Browser zu erreichen ist – ähnlich wie Google Chromes XSS Auditor und dem ersten Filter im Internet Explorer von David Ross. NoScripts Kernbestandteil ist der Injection Checker.

Wie man ein gutes Niveau an Softwaresicherheit erreicht, erläutern zwei weitere Sprecher. Jerry Hoff von WhiteHat wird Modelle wie Microsofts SDL, BSIMM3, NISTs "Security considerations in System Development Life Cycle" und das OWASP-eigene OpenSAMM für die verschiedenen Phasen des Entwicklungsprozesses erklären. Seba Deleersnyder wird als einer der Projektleiter von OpenSAMM über die Neuigkeiten von "seinem" Modell sprechen.

Die Keynote hält Rainer Böhme von der Universität Münster, der auf dem Gebiet der Ökonomie von IT-Sicherheit/Datenschutz sowie zu virtuellen Währungen, Cyberkriminalität und digitaler Forensik forscht. Des Weiteren gibt es mehrere Kurzvorträge unter anderem zu Cloud-Sicherheit, Hunderte von Sicherheitsabnahmen und den OWASP Top 10 Privacy Risks runden das Programm ab. (ane)